Закажите пилотный проект
Phishman бесплатно
Phishman бесплатно
Заполните форму, чтобы получить
консультацию экспертов Phishman
консультацию экспертов Phishman
Я хочу получать рекламную информацию об услугах ООО «Фишман» по любым доступным каналам коммуникации, в том числе в виде смс-сообщений на указанный мной номер сотового телефона
Методология построения
и развития киберкультуры Phishman
Что такое киберкультура?
1
2
3
Чтобы говорить на одном языке, определим три ключевых понятия:
Киберкультура — совокупность осознанности, мотивации и готовности соблюдать внедренные нормы ИБ, которые принимаются как часть внутренней корпоративной среды.
Киберосознанность — это уровень знаний, навыков и понимания принципов кибербезопасности:
когда и как их применять
на практике.
когда и как их применять
на практике.
Кибериммунитет — способность организации сопротивляться киберугрозам за счет вовлеченности сотрудников.
Основа цифровой устойчивости компании
Внутренняя киберкультура — важнейший элемент современной системы кибербезопасности. В условиях быстроменяющегося мира, где сотрудник остается
самым уязвимым звеном, он же становится и ключевым участником формирования кибериммунитета организаций и компаний.
самым уязвимым звеном, он же становится и ключевым участником формирования кибериммунитета организаций и компаний.
Именно человек способен вовремя заметить нарушение, сообщить о потенциальной угрозе или даже остановить атаку на ранней стадии. Это касается не только рядовых сотрудников, но и технических специалистов, включая разработчиков. От их осознанности и взаимодействия с ИБ напрямую зависит устойчивость всей системы инфраструктуры
и ее соответствие нужным требованиям.
и ее соответствие нужным требованиям.
С чего начинается развитие?
Любое изменение — это процесс, и важно понимать, что подготовительный этап — это половина успеха для внедрения в компанию чего-то нового.
Прежде чем переходить к развитию киберкультуры, необходимо иметь четкое понимание текущего состояния информационной безопасности в компании. В первую очередь это процессы, потом инструменты и далее уже киберкультура. Представить кибербезопасность можно как непрерывный PDCA-процесс:
Начать стоит с построения матрицы рисков, пусть даже в упрощенной или субъективной форме. Главное — ориентироваться на основную деятельность организации:
1. Оценка рисков
Далее сравнение: где мы сейчас и к чему стремимся. На этом этапе удобно использовать визуальные инструменты вроде «радара зрелости» с индивидуально подобранными критериями — их может быть как больше, так и меньше, чем в примере:
2. Целевая модель и текущее состояние
После оценки можно выстроить план развития ИБ на 2-3 года вперед и ежегодно его пересматривать. Уже на этой базе выстраивается программа по развитию киберкультуры.
3. Стратегия развития
Киберкультура тесно связана с подходом человекоцентричной безопасности (People-centric Security), но не обязательно сразу внедрять все её элементы. Достаточно начать с основ, а остальные атрибуты — изучить и учитывать.
Человекоцентричная безопасность строится на семи принципах:
Если человек нарушил правила — на это обязательно будет реакция. Наказание применяют только если нужно, а все ошибки разбирают, чтобы они не повторялись.
7. Неотвратимость
Контроль должен быть разумным и соизмеримым с рисками.
Лучше использовать автоматизированные инструменты мониторинга.
Лучше использовать автоматизированные инструменты мониторинга.
6. Оценка
Поведение сотрудников отслеживается, и по результатам даётся понятная и конструктивная обратная связь.
5. Прозрачность
Люди несут персональную ответственность за последствия
своих действий.
своих действий.
4. Ответственность
Отдел ИБ рассказывает всей компании о важности кибербезопасности.
3. Общность
У каждого информационного ресурса есть владелец, который определяет правила работы с ним.
2. Формализация
Благодаря киберосознанности сотрудники сами принимают решение, когда и как использовать информационные ресурсы организации, исходя из понимания принципов ИБ и задач бизнеса.
1. Автономность
Ключевые условия для развития киберкультуры
Чтобы сотрудники лучше усваивали принципы безопасности, стоит заранее понять, чему именно учить. Все темы можно разбить на несколько направлений:
После того как список тем составлен, стоит определить, какие из них критичны прямо сейчас, а какие можно отложить и развивать позже. Это поможет встроить обучение в стратегию развития информационной безопасности и закрепить их как ключевые ценности ИБ.
Как человекоцентричный подход не обязателен для построения киберкультуры, так же сама киберкультура может существовать и без него. В любой компании есть своя культура безопасности — осознанная или нет. Но она не всегда работает на пользу. Чтобы понять, почему так происходит и как это изменить, стоит разобраться в этапах развития киберкультуры и инструментах, которые с этим помогают.
тема связана с настройкой смартфонов, ноутбуков и других гаджетов. Сотрудники должны знать, как правильно работать
с корпоративными данными на личных устройствах и какие настройки важны для защиты информации.
с корпоративными данными на личных устройствах и какие настройки важны для защиты информации.
— Безопасность личных устройств:
включает регулярную блокировку компьютера, использование паролей, работу только с разрешенными приложениями
и правильное обращение со съемными носителями.
и правильное обращение со съемными носителями.
— Безопасность рабочего места:
помогает понять, как заметить признаки атаки, куда сообщать об инциденте и какие действия нужно предпринять в случае угрозы.
— Реагирование на кибератаки:
требует понимания, какие данные считаются конфиденциальными, как их хранить и передавать, чтобы не нарушать правила безопасности.
— Работа с конфиденциальной информацией:
умение распознавать фишинговые письма, приемы социальной инженерии, вредоносные ссылки и файлы, а также способы защиты от таких угроз.
— Безопасное поведение в интернете:
Как это выглядит:
Для начала нужно определить, какие этапы бывают при построении киберкультуры. Их можно разделить на пять уровней:
Целевой этап. Компания заботится о безопасности сотрудников даже за пределами работы.
5. Генеративный уровень
Сотрудники сами отвечают за свою безопасность и помогают другим. Компания делает упор на профилактику. Отдел ИБ становится консультативным, а не надзорным.
4. Проактивный уровень
Компания собирает и анализирует много данных, проводя проверки. Но сотрудники по-прежнему не участвуют в процессе обеспечения безопасности.
3. Учетный уровень
К безопасности относятся серьезно, но только после происшествий. Руководство старается предотвращать повторы и считает, что в большинстве случаев виноваты сотрудники.
2. Реактивный уровень
На этом этапе информация о киберинцидентах скрывается. Сотрудники не думают о безопасности и соблюдают требования только формально — чтобы не попасться на нарушении. Ответственность лежит только на отделе ИБ, а инциденты считаются обычной частью работы.
1. Патологический уровень
Этапы развития киберкультуры
Отдельно отметим, что в зависимости от стиля управления в организации и уже сформированной корпоративной культуры будет зависеть какие нюансы в инструментах для развития киберкультуры будет необходимо скорректировать.
Ниже приведено условное деление в возможных стилях. От самоуправления, где многие решения принимаются на уровне руководителя отдела или даже группы, до сильного давления со стороны высшего руководства, когда многие решения «спускаются» от высшего руководства к исполнению. Помимо этого, стоит понимать, как именно принимаются решения — коллективно или единолично. Ниже визуализация, внутри которой можно приблизительно местонахождение своей компании для понимания, как именно наиболее эффективно развивать киберкультуру.
Ниже приведено условное деление в возможных стилях. От самоуправления, где многие решения принимаются на уровне руководителя отдела или даже группы, до сильного давления со стороны высшего руководства, когда многие решения «спускаются» от высшего руководства к исполнению. Помимо этого, стоит понимать, как именно принимаются решения — коллективно или единолично. Ниже визуализация, внутри которой можно приблизительно местонахождение своей компании для понимания, как именно наиболее эффективно развивать киберкультуру.
Оценивать киберкультуру стоит через архетипы — то есть устойчивые модели мышления и поведения. При этом важно подтверждать выводы через артефакты и символы — внешние проявления культуры.
Если по результатам опросов и интервью кажется, что в компании уже сформированы ценности кибербезопасности, но поведение сотрудников этому не соответствует — значит, киберкультура
еще в процессе формирования.
В этом случае нужно сосредоточиться на уровне ценностей. Через них можно влиять на архетипы,
а уже затем — на поведение и видимые проявления (артефакты).
Если по результатам опросов и интервью кажется, что в компании уже сформированы ценности кибербезопасности, но поведение сотрудников этому не соответствует — значит, киберкультура
еще в процессе формирования.
В этом случае нужно сосредоточиться на уровне ценностей. Через них можно влиять на архетипы,
а уже затем — на поведение и видимые проявления (артефакты).
Если сильно давление начальства, то оптимальным инструментом для внедрения киберкультуры могут стать амбассадоры — лица из руководства компании, спускающие нововведение как распоряжение. Если это коллективное решение — нужно работать
с тимлидами, способными влиять на сотрудников. Если вы ближе к самоуправлению — через создание
и развитие функции security buddy. Если внедрение киберкультуры — единоличное решение, следует сосредоточиться на классическом security awareness.
с тимлидами, способными влиять на сотрудников. Если вы ближе к самоуправлению — через создание
и развитие функции security buddy. Если внедрение киберкультуры — единоличное решение, следует сосредоточиться на классическом security awareness.
Киберкультура тоже строится на нескольких уровнях. Недостаточно просто соблюдать правила (артефакты). Важно, чтобы сотрудники разделяли ценности кибербезопасности и понимали ее значимость на более глубоком уровне — уровне базовых убеждений о том, как правильно выполнять работу.
Модель Шейна описывает культуру как многоуровневую систему. Она показывает, что культура компании — это не только видимые элементы, но и глубинные убеждения, которые не всегда осознаются.
В зависимости от развития ИБ и ИТ в компании, для оценки уровня развития киберкультуры нужно применять качественные и количественные методы. К качественным методам можно отнести оценку по Пирамиде Шейна, которая выделяет три уровня культуры: артефакты, провозглашаемые ценности и базовые глубинные предположения:
Оценка киберкультуры
!
Для каждой организации набор символов киберкультуры может отличаться —
это зависит от типа управления
и корпоративной культуры.
это зависит от типа управления
и корпоративной культуры.
Архетипы и символы на разных уровнях киберкультуры
Символы:
- Сотрудники осознанно следуют правилам ИБ.
- Есть диалог с отделом ИБ, инициативность.
- Привычки безопасного поведения выходят за рамки офиса.
Архетип: «Кибербезопасность важна и в работе,
и в жизни. Я защищаю не только компанию, но и себя».
и в жизни. Я защищаю не только компанию, но и себя».
5 уровень — Генеративный
Символы:
- Сотрудники сами сообщают о рисках и инцидентах.
- Используются не только инструкции, но и принципы.
- ИБ воспринимается как часть бизнес-процессов.
Архетип: «Кибербезопасность — часть моей работы. Отдел ИБ помогает, а не мешает. Я готов участвовать».
4 уровень — Проактивный
Символы:
- Соблюдение ИБ — только по инструкциям.
- Инциденты не скрываются, но и не обсуждаются.
- Отсутствует вовлеченность, нет инициативности.
Архетип: «Информационная безопасность — это задача отдела ИБ, не моя. Если нужно — пусть согласуют с моим руководителем».
3 уровень — Учетный
Символы:
- Руководство нарушает правила или игнорирует их.
- ИБ вспоминают только после серьезных инцидентов.
- Сотрудники следуют правилам только при прямом контроле.
Архетип: «Правила ИБ важны, но скорее мешают. Соблюдаю только то, что явно предписано. Реагирую — когда уже что-то случилось».
2 уровень — Реактивный
Символы:
- Слабые пароли, отсутствует двухфакторная аутентификация.
- Инциденты скрываются.
- Правила игнорируются, сотрудники не ощущают личной ответственности.
Архетип: «Информационная безопасность меня не касается. Она существует только для наказаний.
Главное — не попасться».
Главное — не попасться».
1 уровень — Патологический
Согласие — соответствие требованиям безопасности в компании. Может быть подсчитано с помощью количества учетных записей, которые не соответствуют политике безопасности, у тех или иных сотрудников, найденные при проверке паролей в Microsoft Active Directory или количество событий в DLP-системе о повторяющихся нарушениях работы с конфиденциальными данными. Таким образом, согласие можно выразить через отношение числа сотрудников с повторными нарушениями к общему количеству сотрудников.
Мотивация — желание сотрудника участвовать в поддержании кибериммунности компании, проверяется путем подсчета количества сообщений в отдел ИБ на общее число сотрудников (в более сложной модели –—количества сотрудников, которые были подвержены той или иной атаке).
Киберосознанность — как совокупность понимания сотрудником, где и какие полученные навыки и знания следует применить. Как пример количественного подсчета — соотношение разосланных тестовых и/или обнаруженных фишинговых писем к количеству тех, кто на них попался или количество документов, забытых в принтере. При этом учитывается количество сотрудников, которые прошли соответствующее обучение с контрольным тестированием знаний и навыков.
Если качественные методы оценки киберкультуры чаще понятны HR-специалистам, то сотрудникам ИБ ближе количественный подход. Он позволяет точнее определить текущий уровень киберкультуры за счет данных, которые уже собираются средствами безопасности. Эти события можно «приземлить» на конкретных сотрудников и оценить три ключевых атрибута киберкультуры:
(Киберосознанность × Мотивация) – Согласие = Уровень киберкультуры
Представим 3 прошлых определения в виде ответов на вопросы.
Так легче работать с формулой, о которой мы поговорим дальше:
Так легче работать с формулой, о которой мы поговорим дальше:
Теперь к формуле — количественный метод можно выразить так:
Как рассчитать уровень киберкультуры?
На первых этапах уровень киберкультуры может быть низким или даже отрицательным. Это не ошибка, потому что мотивация еще не включена в процессы. Но именно она помогает укреплять культуру и повышать защищенность.
!
ВАЖНО:
показатель того, насколько сотрудники в целом соблюдают правила. Мы считаем его через число повторных нарушений: чем их больше — тем ниже согласие. Это упрощенная логика: если человек систематически нарушает правила, значит, он с ними
не согласен.
не согласен.
Согласие —
отвечает на вопрос «Насколько активно сотрудники сами участвуют в обеспечении безопасности (например, сообщают о подозрительных событиях)?»
Мотивация —
отвечает на вопрос «Hасколько хорошо сотрудники знают правила и умеют применять их на практике?»
Киберосознанность —
мотивация и устойчивое соблюдение правил — ключевые факторы сильной киберкультуры.
Вывод:
даже при высокой киберосознанности слабая мотивация
и низкое согласие снижают общий показатель.
и низкое согласие снижают общий показатель.
Вывод:
- Киберосознанность = (3756 / 3756) – (112 / 3756) = 0,98
- Мотивация = 20 / 3756 = 0,005
- Согласие = 234 / 3756 = 0,06
- Уровень киберкультуры = 0,98 × 0,005 – 0,06 = – 0,055
Расчёт:
- Всего сотрудников: 3 756
- Обучение прошли: все 3 756
- Атакованы в тесте: 3 756
- Попались на атаку: 112
- Сообщили в ИБ об инцидентах: 20
- Повторные нарушители: 234
Исходные данные:
- Мотивация = 3005 / 3756 = 0,8
- Согласие = 20 / 3756 = 0,005
- Уровень киберкультуры = 0,98 × 0,8 – 0,005 = 0,77
Если мотивация = 80% (3005 человек), а нарушителей всего 20:
Оптимистичный сценарий
- Согласие = 1878 / 3756 = 0,5
- Уровень киберкультуры = 0,98 × 0,2 – 0,5 = – 0,31
Если нарушителей будет 50% — 1878 человек:
Сценарий с низким согласием
- Согласие = 20 / 3756 = 0,005
- Уровень киберкультуры = 0,98 × 0,2 – 0,005 = 0,19
Если повторных нарушителей будет всего 20:
Сценарий с ростом согласия
- Мотивация = 751 / 3756 = 0,2
- Уровень киберкультуры = 0,98 × 0,2 – 0,06 = 0,13
Если 751 человек (20%) начнет сообщать об инцидентах:
Сценарий с ростом мотивации
примеры
Мотивация напрямую влияет на уровень киберкультуры. Эта зависимость закономерна: чем выше мотивация сотрудников — тем выше культура безопасности в компании. Хотя мотивация важна на всех этапах, именно во время формирования киберкультуры она играет ключевую роль. Если соотнести уровни киберкультуры с числовыми значениями, получится такая шкала:
При этом, если количественные показатели будут дополнены качественными, мы получим более полную картину:
Как связаны мотивация
и уровень киберкультуры?
и уровень киберкультуры?
0,7 ⩽ КК ⩽ 1
5 уровень – Генеративный.
0,5 ⩽ КК ⩽ 0,7
4 уровень – Проактивный.
0,3 ⩽ КК ⩽ 0,5
3 уровень – Учетный.
0 ⩽ КК ⩽ 0,3
2 уровень – Реактивный.
Символы: Сотрудники осознанно и эффективно взаимодействуют с отделом ИБ, понимают
и поддерживают все меры. 0,7 ⩽ КК ⩽ 1
и поддерживают все меры. 0,7 ⩽ КК ⩽ 1
Архетип: Кибербезопасность важна как в офисе,
так и дома. Я одинаково ответственно подхожу к ней
в любой среде.
так и дома. Я одинаково ответственно подхожу к ней
в любой среде.
5 уровень — Генеративный
Символы: Сотрудники не только соблюдают правила, но и думают на опережение, сообщают об инцидентах, даже если они вне чётких инструкций.
0,5 ⩽ КК ⩽ 0,7
0,5 ⩽ КК ⩽ 0,7
Архетип: ИБ помогает работе всей компании, поэтому я готов поддерживать и вовремя сообщать
о проблемах.
о проблемах.
4 уровень — Проактивный
Символы: Сотрудники выполняют требования из инструкций, но инициативы не проявляют. Инциденты не скрывают, но и не сообщают о них проактивно.
0,3 ⩽ КК ⩽ 0,5
0,3 ⩽ КК ⩽ 0,5
Архетип: У ИБ — свои задачи, у меня — свои. Если что-то нужно, пусть решают через руководство.
3 уровень — Учетный
Символ:
Руководство само не соблюдает правила. Сотрудники следуют только тем требованиям, которые им чётко разъяснили. Реакция на инциденты появляется только после серьёзных последствий. 0 ⩽ КК ⩽ 0,3
Руководство само не соблюдает правила. Сотрудники следуют только тем требованиям, которые им чётко разъяснили. Реакция на инциденты появляется только после серьёзных последствий. 0 ⩽ КК ⩽ 0,3
Архетип: Информационная безопасность важна, но не для всех и не всегда. Чаще мешает, чем помогает.
2 уровень — Реактивный
Символ: Правила кибергигиены не соблюдаются: пароли простые, меняются редко. Инциденты скрываются на всех уровнях. КК ⩽ 0
Архетип: «Информационная безопасность меня не касается. Она существует только для наказаний.
Главное — не попасться».
Главное — не попасться».
1 уровень — Патологический
КК ⩽ 0
1 уровень – Патологический.
Когда вы уже справились с самым трудным — оценкой киберкультуры, можно переходить к следующему шагу: ее развитию. Ниже — рекомендуемые шаги, которые помогут подняться на новый уровень.
Мотивация и уровень киберкультуры напрямую связаны. Это вполне закономерная связь. Хотя мотивация важна всегда, именно на этапе формирования основ киберкультуры она играет ключевую роль.
Если представить киберкультуру в виде уровней и сопоставить
их с количественными метриками, получится такая картина:
Мотивация и уровень киберкультуры напрямую связаны. Это вполне закономерная связь. Хотя мотивация важна всегда, именно на этапе формирования основ киберкультуры она играет ключевую роль.
Если представить киберкультуру в виде уровней и сопоставить
их с количественными метриками, получится такая картина:
Развитие киберкультуры
Security buddy — линейные сотрудники, которые помогают коллегам соблюдать повседневные правила ИБ. Их роль — сократить дистанцию между отделом ИБ и сотрудниками других подразделений.
Инструменты перехода
на более высокий уровень киберкультуры
на более высокий уровень киберкультуры
Амбассадоры ИБ — это руководители среднего
и высшего звена, которые лояльны к информационной безопасности и разделяют ее ценности. Их основная задача — формировать положительный образ отдела ИБ среди коллег-менеджеров и напоминать
о важности соблюдения ценностей безопасности.
и высшего звена, которые лояльны к информационной безопасности и разделяют ее ценности. Их основная задача — формировать положительный образ отдела ИБ среди коллег-менеджеров и напоминать
о важности соблюдения ценностей безопасности.
Амбассадоров можно выявить через личное общение — сотрудникам ИБ важно использовать soft skills, чтобы понять, кто из менеджеров готов взять на себя эту роль.
Security buddy проще искать через каналы внутренней коммуникации — мессенджеры, корпоративную почту или портал. Во время этого поиска также могут откликнуться менеджеры, которые впоследствии станут амбассадорами.
И в том, и в другом случае стоит обращать внимание на сотрудников, которые проявляют интерес к теме ИБ и готовы помогать компании поддерживать высокий уровень безопасности.
Security buddy проще искать через каналы внутренней коммуникации — мессенджеры, корпоративную почту или портал. Во время этого поиска также могут откликнуться менеджеры, которые впоследствии станут амбассадорами.
И в том, и в другом случае стоит обращать внимание на сотрудников, которые проявляют интерес к теме ИБ и готовы помогать компании поддерживать высокий уровень безопасности.
Как найти амбассадоров
и buddy?
и buddy?
Мотивация для обеих групп — нематериальная. Это чувство принадлежности к сообществу людей, которые помогают делать компанию безопаснее. Поощрением за достижения может быть, например, мерч.
Конкретные достижения зависят от особенностей организации, но, например, можно поощрять за:
— Количество обращений, переданных в ИБ-отдел
— Участие в обучении и вовлечение других сотрудников
— Снижение числа нарушений в своём подразделении
Это не полный список возможных мер, но каждая организация может дополнить его, исходя из своих задач и особенностей.
Конкретные достижения зависят от особенностей организации, но, например, можно поощрять за:
— Количество обращений, переданных в ИБ-отдел
— Участие в обучении и вовлечение других сотрудников
— Снижение числа нарушений в своём подразделении
Это не полный список возможных мер, но каждая организация может дополнить его, исходя из своих задач и особенностей.
Мотивация
Предложенная методология помогает задать общий вектор: как оценивать, развивать и поддерживать киберкультуру в компании.
Важно помнить: киберкультура — это не только про цифры и метрики. Это социальная система, и ее развитие зависит от вовлеченных людей, ценностей
и поведения. Универсальных решений здесь не существует, как и полностью предсказуемых сценариев. Метод можно адаптировать под конкретную организацию: усилить нужные инструменты, пересобирать подходы к обучению, работать с мотивацией или запускать инициативы вроде амбассадоров
и security buddy.
Если у вас есть вопросы, идеи или желание применить подход в своей компании — будем рады обратной связи. Пишите на cyberculture@phishman.ru
Важно помнить: киберкультура — это не только про цифры и метрики. Это социальная система, и ее развитие зависит от вовлеченных людей, ценностей
и поведения. Универсальных решений здесь не существует, как и полностью предсказуемых сценариев. Метод можно адаптировать под конкретную организацию: усилить нужные инструменты, пересобирать подходы к обучению, работать с мотивацией или запускать инициативы вроде амбассадоров
и security buddy.
Если у вас есть вопросы, идеи или желание применить подход в своей компании — будем рады обратной связи. Пишите на cyberculture@phishman.ru
Заключение